fix: OAuth 콜백 파라미터로 리다이렉트 위치를 지정하도록 수정

[uwoobeat]

🌱 관련 이슈

• close 🐛 OAuth 콜백 URI 파라미터로 리다이렉트 위치를 지정하도록 수정 #684

📌 작업 내용 및 특이사항

문제 상황

• 저번에 referer가 초기 클라이언트 요청 위치인걸 분명히 확인했었는데... 어째서인지 referer가 github.com으로 변경되어, 클라이언트가 로그인 이후 리다이렉트를 받지 못하는 이슈가 또 발생했습니다.
• 원인은 파악하기 어려웠고, 리다이렉트 로직을 referer 기반이 아닌, 다른 로직으로 수정했습니다.

콜백 URI 파라미터로 위치를 저장하기

• 저번에 SavedRequestAwareAuthenticationSucessHandler 로 해결하는 방법 찾아봤었는데요, 저희는 세션을 사용하고 있지 않기 때문에 불가능했습니다.
• 그러다가 든 생각이, github에서 callback url (= redirect uri) 적을 때 (/login/oauth2/code) 쿼리 파라미터로 이를 지정해주면 깃허브에서 리다이렉트를 내려주면서 referer가 소실되는 문제를 해결할 수 있지 않을까? 싶었습니다.
• application-security.yml 에서, 다음과 같이 수정하고 테스트해봤습니다.
  • redirect-uri: "https://{baseHost}{basePort}{basePath}/login/oauth2/code/{registrationId}"
  • redirect-uri: "https://{baseHost}{basePort}{basePath}/login/oauth2/code/{registrationId}?target=https://local-onboarding.gdschongik.com"
• 그리고CustomSuccessHandler 에서 setUserReferer (레퍼러 기반 리다이렉트 정책) 을 다음과 같이 변경했습니다.

public CustomSuccessHandler(JwtService jwtService, CookieUtil cookieUtil) {
    this.jwtService = jwtService;
    this.cookieUtil = cookieUtil;
    setTargetUrlParameter(OAUTH_TARGET_URL_PARAM_NAME);
}

• 이러면 요청 URL에서 특정 파라미터의 값을 가져와서 그것을 리다이렉트 URL로 삼습니다.
• 결과는 잘 작동했습니다.

OAuth 인가 요청에 추가 파라미터 넣기

• redirect uri에 추가 파라미터를 담는 요구사항이 많아서 그런지 스프링 시큐리티에는 이미 해당 기능 커스터마이징이 가능했습니다.
• OAuth2AuthorizationRequestResolver 라는게 있는데, 말그대로 'OAuth' '인가 요청'을 리졸브하는 클래스입니다. 즉 resolve() 메서드를 통해 OAuth2AuthorizationRequest 객체를 만들어서 반환합니다.
• 방법은 간단한데요, 이 request 객체의 additionalParameters 프로퍼티에 우리가 원하는 (target, 클라이언트 URL) 쌍을 넣으면 됩니다. 클라이언트 URL = referrer이므로 이는 헤더에서 가져옵시다.

private OAuth2AuthorizationRequest customizeAuthorizationRequest(
        HttpServletRequest request, OAuth2AuthorizationRequest authorizationRequest) {

    String referer = request.getHeader("Referer");
    if (referer == null || referer.isEmpty()) {
        return authorizationRequest;
    }

    Map<String, Object> additionalParameters = new HashMap<>();
    additionalParameters.put(OAUTH_TARGET_URL_PARAM_NAME, referer);

    return OAuth2AuthorizationRequest.from(authorizationRequest)
            .additionalParameters(additionalParameters)
            .build();
}

• 요런 느낌입니다. 이러면 잘 작동합니다.

📝 참고사항

📚 기타

Summary by CodeRabbit

• New Features

  • OAuth2 인증 요청 처리를 개선하기 위해 새로운 상수와 사용자 정의 요청 해결자를 추가했습니다.
  • 인증 성공 시 사용되는 URL 타겟팅 방식을 개선했습니다.

• Bug Fixes

  • 인증 흐름의 리디렉션을 더 잘 처리하도록 설정을 수정했습니다.

[coderabbitai]

Walkthrough

이 변경 사항은 OAuth2 인증 요청 처리를 향상시키기 위해 새로운 상수, 수정된 필드 및 메서드를 도입합니다. SecurityConstant 클래스에 새로운 상수가 추가되고, WebSecurityConfig에서 OAuth2 로그인 구성을 개선하며, CustomOAuth2AuthorizationRequestResolver를 통해 요청을 맞춤화합니다. 마지막으로, CustomSuccessHandler의 성공 시 URL 처리 로직이 수정되었습니다.

Changes

파일 경로	변경 요약
src/main/java/com/gdschongik/gdsc/global/common/constant/SecurityConstant.java	OAUTH_TARGET_URL_PARAM_NAME 상수 추가 및 값을 "target"으로 설정
src/main/java/com/gdschongik/gdsc/global/config/WebSecurityConfig.java	OAuth2 로그인 구성 개선, clientRegistrationRepository 추가 및 customOAuth2AuthorizationRequestResolver 메서드 추가
src/main/java/com/gdschongik/gdsc/global/security/CustomOAuth2AuthorizationRequestResolver.java	OAuth2AuthorizationRequestResolver 인터페이스 구현, 요청을 커스터마이즈하는 메서드 추가
src/main/java/com/gdschongik/gdsc/global/security/CustomSuccessHandler.java	성공 핸들러에서 리퍼러 대신 타겟 URL 파라미터를 사용하는 로직으로 수정

Sequence Diagram(s)

sequenceDiagram
    participant User
    participant Client
    participant AuthServer
    participant CustomOAuth2AuthorizationRequestResolver

    User->>Client: 인증 요청
    Client->>CustomOAuth2AuthorizationRequestResolver: 요청 처리
    CustomOAuth2AuthorizationRequestResolver->>AuthServer: OAuth2 인증 요청 전송
    AuthServer-->>CustomOAuth2AuthorizationRequestResolver: 인증 응답
    CustomOAuth2AuthorizationRequestResolver->>Client: 사용자 리다이렉트
    Client->>User: 인증 성공 메시지

Loading

Assessment against linked issues

Objective	Addressed	Explanation
OAuth 콜백 URI 파라미터로 리다이렉트 위치를 지정하도록 수정 (#684)	✅

🐇 변화를 뛰어넘어,
목표 URL을 설정해,
리퍼러 대신 선택해,
인증의 흐름을 즐겨요.
모두 함께 안전하게,
로그인 후 돌아가요! 🏃‍♂️✨

---

Thank you for using CodeRabbit. We offer it for free to the OSS community and would appreciate your support in helping us grow. If you find it useful, would you consider giving us a shout-out on your favorite social media?

Share

• X
• Mastodon
• Reddit
• LinkedIn

Tips

Chat

There are 3 ways to chat with CodeRabbit:

• Review comments: Directly reply to a review comment made by CodeRabbit. Example:
  • I pushed a fix in commit <commit_id>.
  • Generate unit testing code for this file.
  • Open a follow-up GitHub issue for this discussion.
• Files and specific lines of code (under the "Files changed" tab): Tag @coderabbitai in a new review comment at the desired location with your query. Examples:
  • @coderabbitai generate unit testing code for this file.
  • @coderabbitai modularize this function.
• PR comments: Tag @coderabbitai in a new PR comment to ask questions about the PR branch. For the best results, please provide a very specific query, as very limited context is provided in this mode. Examples:
  • @coderabbitai generate interesting stats about this repository and render them as a table.
  • @coderabbitai show all the console.log statements in this repository.
  • @coderabbitai read src/utils.ts and generate unit testing code.
  • @coderabbitai read the files in the src/scheduler package and generate a class diagram using mermaid and a README in the markdown format.
  • @coderabbitai help me debug CodeRabbit configuration file.

Note: Be mindful of the bot's finite context window. It's strongly recommended to break down tasks such as reading entire modules into smaller chunks. For a focused discussion, use review comments to chat about specific files and their changes, instead of using the PR comments.

CodeRabbit Commands (invoked as PR comments)

• @coderabbitai pause to pause the reviews on a PR.
• @coderabbitai resume to resume the paused reviews.
• @coderabbitai review to trigger an incremental review. This is useful when automatic reviews are disabled for the repository.
• @coderabbitai full review to do a full review from scratch and review all the files again.
• @coderabbitai summary to regenerate the summary of the PR.
• @coderabbitai resolve resolve all the CodeRabbit review comments.
• @coderabbitai configuration to show the current CodeRabbit configuration for the repository.
• @coderabbitai help to get help.

Additionally, you can add @coderabbitai ignore anywhere in the PR description to prevent this PR from being reviewed.

CodeRabbit Configuration File (.coderabbit.yaml)

• You can programmatically configure CodeRabbit by adding a .coderabbit.yaml file to the root of your repository.
• Please see the configuration documentation for more information.
• If your editor has YAML language server enabled, you can add the path at the top of this file to enable auto-completion and validation: # yaml-language-server: $schema=https://coderabbit.ai/integrations/schema.v2.json

Documentation and Community

• Visit our Documentation for detailed information on how to use CodeRabbit.
• Join our Discord Community to get help, request features, and share feedback.
• Follow us on X/Twitter for updates and announcements.

[github-actions]

Job Summary for Gradle

Check Style and Test to Develop :: build-test

Gradle Root Project	Requested Tasks	Gradle Version	Build Outcome	Build Scan®
gdsc	check	8.5	✅

[coderabbitai]

Actionable comments posted: 0

Review details

Configuration used: CodeRabbit UI
Review profile: CHILL

Commits

Files that changed from the base of the PR and between fb8b086 and f857627.

Files selected for processing (4)

• src/main/java/com/gdschongik/gdsc/global/common/constant/SecurityConstant.java (1 hunks)
• src/main/java/com/gdschongik/gdsc/global/config/WebSecurityConfig.java (5 hunks)
• src/main/java/com/gdschongik/gdsc/global/security/CustomOAuth2AuthorizationRequestResolver.java (1 hunks)
• src/main/java/com/gdschongik/gdsc/global/security/CustomSuccessHandler.java (1 hunks)

Additional comments not posted (7)

src/main/java/com/gdschongik/gdsc/global/common/constant/SecurityConstant.java (1)

11-11: 새로운 상수 추가 승인

OAUTH_TARGET_URL_PARAM_NAME 상수가 추가되어 OAuth 관련 작업에서 타겟 URL을 처리하는 데 사용됩니다. 이 변경은 문제없이 보이며, OAuth 콜백 URI 처리를 개선하는 데 도움이 될 것입니다.

src/main/java/com/gdschongik/gdsc/global/security/CustomSuccessHandler.java (1)

27-27: 생성자 로직 변경 승인

setTargetUrlParameter(OAUTH_TARGET_URL_PARAM_NAME)를 사용하여 생성자 로직이 변경되었습니다. 이는 더 신뢰할 수 있는 OAuth 흐름을 보장하는 데 중요한 변경입니다. 이제 인증 후 리디렉션은 참조자에 의존하지 않고 명시적으로 지정된 타겟 URL 매개변수를 사용합니다.

src/main/java/com/gdschongik/gdsc/global/security/CustomOAuth2AuthorizationRequestResolver.java (1)

34-47: OAuth2 인증 요청 맞춤화 승인

CustomOAuth2AuthorizationRequestResolver는 참조자를 추가 매개변수로 포함하여 OAuth2 인증 요청을 맞춤화합니다. 이는 OAuth 콜백 URI를 더 신뢰할 수 있게 처리하는 PR 목표와 일치합니다. 참조자 URL이 존재하는 경우 이를 추가 매개변수로 포함하여 OAuth2 흐름을 개선합니다.

src/main/java/com/gdschongik/gdsc/global/config/WebSecurityConfig.java (4)

14-14: 새로운 보안 클래스가 추가되었습니다.

CustomOAuth2AuthorizationRequestResolver와 다른 보안 관련 클래스들이 추가되었습니다. 이는 OAuth2 로그인 구성을 개선하기 위한 것으로 보입니다.

---

54-54: 새로운 필드 clientRegistrationRepository가 추가되었습니다.

이 필드는 CustomOAuth2AuthorizationRequestResolver를 초기화하는 데 사용됩니다. 이는 OAuth2 인증 요청을 더 유연하게 처리할 수 있게 해줍니다.

---

100-104: OAuth2 로그인 구성이 수정되었습니다.

OAuth2 로그인 과정에서 customOAuth2AuthorizationRequestResolver를 사용하여 인증 요청을 맞춤화합니다. 이는 보안 설정을 강화하고 사용자 인증 흐름을 더 잘 제어할 수 있게 합니다.

---

147-150: 새로운 Spring bean customOAuth2AuthorizationRequestResolver가 추가되었습니다.

이 메소드는 ClientRegistrationRepository를 사용하여 CustomOAuth2AuthorizationRequestResolver를 초기화합니다. 이는 OAuth2 인증 요청을 더 효과적으로 관리할 수 있게 해줍니다.